GitHub 家的程序員也得祭天了?和 Twitter 一樣用戶賬號信息遭純文本暴露

黑客技術與網絡安全2018-05-14 17:04:09

開源最前線(ID:OpenSourceTop) 猿妹整編

綜合自:快科技、https://www.bleepingcomputer.com/news/security/github-accidentally-recorded-some-plaintext-passwords-in-its-internal-logs/


要說最近得要祭天的程序員,除了 Twitter 家的,其實還有 GitHub 家的。有個共同點:用戶密碼明文存在了內部日誌系統中。


Github 是全球知名的面向開源和私有軟件項目的託管平臺,不過,官方近日承認,由於失誤,一部分用戶的密碼被以純文本的形式暴露。


Github 敬告用戶無用過多擔心,首先受波及的用戶很少,其次密碼是暴露給了很少一部分內部員工。




當然,這種洩露門最後給出的解決方法無一例外,那就是修改密碼,以策萬全。


資料顯示,在 2016 年 6 月,Github 就發出密碼修改和重置提示,當時,有用戶使用 LinkedIn/Dropbox/MySpace 安全洩露事件中的用戶名和密碼對 Github 進行撞庫攻擊。



這次,GitHub 發送的郵件全文如下:


“在例行審計過程中,Github 發現最近出現的一個 bug 導致某些用戶的密碼暴露到我們的內部日誌系統中,其中包含你的密碼在內。我們已更正這一問題,不過你需要重置密碼以重新獲得對賬戶的訪問權限。


GitHub 通過安全的密碼哈希 (bcrypt) 存儲用戶密碼。然而,這個新出現的 bug導致我們的安全內部日誌在用戶觸發密碼重置時記錄明文用戶密碼。請放心,這些密碼在任何時候都無法遭公開訪問或遭其他 GitHub 用戶訪問。另外,多數 GitHub 員工並無法訪問這些密碼,而且我們已經確認任何 GitHub 員工並不太可能訪問了這些日誌。GitHub 並非故意以明文格式存儲密碼。我們使用了現代密碼方法確保密碼在生產中是安全存儲的。請注意,GitHub 並未遭任何方式的被黑或攻陷。


你可通過如下鏈接重置密碼,重新獲得對賬戶的訪問權限:

https://github.com/password_reset



●編號603,輸入編號直達本文

●輸入m獲取文章目錄

閱讀原文

TAGS:密碼用戶明文訪問